Marian Kogler ist Geschäftsführer der syret GmbH, einem Unternehmen der IT-Sicherheitsbranche aus Halle an der Saale. Er berät mit seinem Team Firmen verschiedener Branchen, darunter auch Banken, und öffentliche Einrichtungen im deutschsprachigen Raum zu allen Fragen der IT-Sicherheit, führt Penetrationstests (simulierte, mit Zustimmung des Eigentümers durchgeführte Angriffe auf Systeme, um Schwachstellen zu finden) durch und klärt IT-Sicherheitsvorfälle auf.
Herr Kogler, welche Risiken drohen beim Online-Banking?
Das größte Risiko ist immer die unbefugte Überweisung, also dass es einem Angreifer gelingt, von Ihrem Konto Geld auf ein von ihm kontrolliertes Konto zu überweisen. Es gibt eine regelrechte kriminelle Industrie um dieses Konzept, der eine liefert Phishing-Kampagnen, um an die Kontonummern und PINs zu kommen, der nächste Bankdrops, also auf falsche Namen eröffnete Konten, auf die der Angreifer die Überweisung auslösen kann, und der dritte Schadsoftware, um TANs auszulesen.
Anschließend wird das Geld über viele verschiedene Konten in unterschiedlichen Ländern per Blitzüberweisung so lange durch das Bankensystem gesendet, bis eine Verfolgung oder gar eine Rückabwicklung nicht mehr möglich ist.
Aber auch andere Angriffsszenarien sind denkbar. Zum Beispiel könnte ein Angreifer große Mengen einer fast wertlosen Aktie kaufen, und dann versuchen, an Wertpapierdepots anderer Bankkunden zu gelangen. Anschließend verkauft er im geknackten Depot alle Wertpapiere und kauft die zuvor ausgewählte Aktie, wodurch der Kurs in die Höhe schießt und er seine eigenen Aktien gewinnbringend verkaufen kann, was den Kurs natürlich wieder zum Sinken bringt. Den Opfern bleiben dann nur noch fast wertlose Aktien im Depot.
Welche Maßnahmen werden von Seiten der Banken dagegen getroffen?
Die üblichste Maßnahme, die inzwischen für Zahlungen in den meisten Fällen auch verpflichtend ist, ist eine Zwei-Faktor-Authentifizierung, also dass man nicht nur ein Passwort oder eine PIN angeben muss, sondern zum Beispiel auch den Besitz eines Geräts nachweisen oder sich mit einem Fingerabdruck authentifizieren muss.
Bedeutet Zwei-Faktor-Authentifizierung absolute Sicherheit?
Nein, absolute Sicherheit gibt es ohnehin nicht, aber häufig wird Zwei-Faktor-Authentifizierung auch falsch umgesetzt. Beispielsweise wird es immer häufiger, dass das Smartphone als Gerät sowohl für das Auslösen der Zahlung als auch für die Bestätigung genutzt wird (Mobile Banking). Jetzt kann es aber sein, dass das Smartphone kompromittiert ist, und der Angreifer beide Faktoren manipulieren kann.
Dass Smartphones kompromittiert werden, ist auch keine theoretische Möglichkeit, sondern Realität. Wie vor wenigen Monaten bekannt wurde, gelang es dem chinesischen Geheimdienst, einen Fehler in iOS zu finden. Es reichte dann, mit einem iPhone oder iPad eine bestimmte Webseite zu besuchen, und die Systemsoftware des Geräts war infiziert – alle Schutzmaßnahmen von Apps konnten so ausgehebelt werden. Inzwischen ist der benutzte Code auch öffentlich, jetzt kann jeder eine solche Webseite nachbauen.
Also sollten die zwei Faktoren auf unterschiedliche Geräte verteilt sein?
Genau, wobei es auch darauf ankommt, was die zwei Faktoren sind. So kann das mTAN- oder smsTAN-Verfahren recht einfach ausgetrickst werden. Die eine Möglichkeit ist, eine neue SIM-Karte auf den Namen des Opfers zu bestellen, und anschließend die SMS zu empfangen.
Ich habe das mit einem Mobilfunkbetreiber und einem Testhandy einmal ausprobiert, ich musste nur Namen und Adresse nennen und das Geburtsdatum bestätigen, konnte sogar eine abweichende Adresse angeben, an die die neue SIM-Karte gesendet werden soll, und die SIM-Karte lag innerhalb von drei Tagen im Briefkasten, als ganz normaler Brief, kein Einschreiben Eigenhändig.
Die andere Möglichkeit ist etwas komplizierter, dazu braucht man einen Zugang zum SS7-Netzwerk, dem Netzwerk, das alle Mobilfunknetzbetreiber der Welt miteinander verbindet. Dann behauptet man, ein Netzbetreiber irgendwo auf der Welt zu sein, und das Opfer gerade im Roaming zu haben, es wird nicht überprüft, ob es tatsächlich so ist. Anschließend schickt der echte Netzbetreiber alle SMS weiter an den Angreifer.
Beide Möglichkeiten wurden auch in der Praxis schon gegen Bankkunden genutzt. Auch biometrische Sicherheitsmerkmale wie Fingerabdrücke können bei den in Smartphones üblichen Sensoren mit etwas Bastelarbeit oder einem 3D-Drucker einfach ausgehebelt werden.
Erlauben Sie uns zum Abschluss noch eine persönliche Frage. Nutzen Sie Online-Banking und wenn ja, wie?
Ja, ich nutze Online-Banking, denn auch Offline-Banking hätte seine Risiken, man denke an gefälschte Unterschriften. Ich nutze zur Zwei-Faktor-Authentifizierung einen separaten Chipkartenleser, dieser hat bis auf den optischen Sensor für den Flickercode, die Schnittstelle zur Chipkarte und die Tasten keine Schnittstellen nach außen, die ein Angreifer zur Kompromittierung nutzen könnte. Außerdem achte ich immer darauf, dass die auf dem Chipkartenleser angezeigte IBAN und der Betrag korrekt ist, bevor ich eine Überweisung freigebe.
Herr Kogler, wir danken Ihnen für das Gespräch.
Die syret GmbH im Internet: https://syret.de